26.9.2019   

DE

Amtsblatt der Europäischen Union

L 246/15

DURCHFÜHRUNGSVERORDNUNG (EU) 2019/1583 DER KOMMISSION

vom 25. September 2019

zur Änderung der Verordnung (EU) 2015/1998 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit in Bezug auf Cybersicherheitsmaßnahmen

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) Nr. 2320/2002 (1), insbesondere auf Artikel 1 und Artikel 4 Absatz 3,

in Erwägung nachstehender Gründe:

(1)

Eines der wichtigsten Ziele der Verordnung (EG) Nr. 300/2008 besteht darin, die Grundlage für eine gemeinsame Auslegung des Anhangs 17 (Anhang „Security“) des Abkommens vom 7. Dezember 1944 über die internationale Zivilluftfahrt (2) (10. Ausgabe 2017) zu schaffen, das alle EU-Mitgliedstaaten unterzeichnet haben.

(2)

Dies erfolgt durch a) die Festlegung gemeinsamer Vorschriften und Grundstandards für die Luftsicherheit und b) Mechanismen für die Überwachung der Einhaltung der Vorschriften und Grundstandards.

(3)

Durch die Änderung des Durchführungsrechtsakts sollen die Mitgliedstaaten dabei unterstützt werden, die vollständige Einhaltung der jüngsten Änderung (Änderung 16) des Anhangs 17 des Abkommens über die internationale Zivilluftfahrt zu gewährleisten, in deren Rahmen in Kapitel 3.1.4 neue Standards für die nationale Organisation und die zuständige Behörde sowie in Kapitel 4.9.1 neue Standards für Präventivmaßnahmen im Bereich der Cybersicherheit eingeführt wurden.

(4)

Durch Umsetzung dieser Standards in EU-weit geltende Durchführungsrechtsakte für die Luftsicherheit wird sichergestellt, dass die zuständigen Behörden Verfahren für einen angemessenen, praktikablen und rechtzeitigen Austausch relevanter Informationen festlegen und umsetzen, um andere nationale Behörden und Agenturen, Flughafenbetreiber, Luftfahrtunternehmen und andere beteiligte Akteure zu unterstützen, wirksame Sicherheitsrisikobewertungen in Bezug auf ihre Tätigkeiten durchzuführen, und ihnen somit unter anderem bei der Durchführung wirksamer Sicherheitsrisikobewertungen im Bereich der Cybersicherheit und bei der Umsetzung von Maßnahmen gegen Cyberbedrohungen Unterstützung zu leisten.

(5)

In der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (3) über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (im Folgenden „NIS-Richtlinie“) sind Maßnahmen festgelegt, mit denen ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der Union erreicht werden soll, um das Funktionieren des Binnenmarkts zu verbessern. Maßnahmen, die auf der NIS-Richtlinie und der vorliegenden Verordnung basieren, sollten auf nationaler Ebene koordiniert werden, um Lücken oder eine doppelte Übertragung von Verpflichtungen zu vermeiden.

(6)

Die Durchführungsverordnung (EU) 2015/1998 der Kommission (4) sollte daher entsprechend geändert werden.

(7)

Die in dieser Verordnung vorgesehenen Maßnahmen entsprechen der Stellungnahme des gemäß Artikel 19 Absatz 1 der Verordnung (EG) Nr. 300/2008 eingerichteten Ausschusses für Luftsicherheit in der Zivilluftfahrt —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Der Anhang der Durchführungsverordnung (EU) 2015/1998 wird gemäß dem Anhang der vorliegenden Verordnung geändert.

Artikel 2

Diese Verordnung tritt am 31. Dezember 2020 in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 25. September 2019

Für die Kommission

Der Präsident

Jean-Claude JUNCKER

(1)  ABl. L 97 vom 9.4.2008, S. 72.

(2)  https://icao.int/publications/pages/doc7300.aspx

(3)  Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

(4)  Durchführungsverordnung (EU) 2015/1998 der Kommission vom 5. November 2015 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit (ABl. L 299 vom 14.11.2015, S. 1).

ANHANG

Der Anhang der Durchführungsverordnung (EU) 2015/1998 wird wie folgt geändert:

1.

Die folgende Nummer 1.0.6 wird angefügt:

„1.0.6.

 Die zuständige Behörde legt Verfahren für einen angemessenen, praktikablen und rechtzeitigen Austausch relevanter Informationen fest und setzt sie um, um andere nationale Behörden und Agenturen, Flughafenbetreiber, Luftfahrtunternehmen und andere beteiligte Akteure zu unterstützen, wirksame Sicherheitsrisikobewertungen in Bezug auf ihre Tätigkeiten durchzuführen.“

2.

Folgende Nummer 1.7 wird angefügt:

„1.7   ERMITTLUNG KRITISCHER INFORMATIONS- UND KOMMUNIKATIONSTECHNISCHER SYSTEME UND DATEN IM BEREICH DER ZIVILLUFTFAHRT UND SCHUTZ DIESER SYSTEME UND DATEN VOR CYBERBEDROHUNGEN

1.7.1.

 Die zuständige Behörde stellt sicher, dass Flughafenbetreiber, Luftfahrtunternehmen und im nationalen Programm für die Sicherheit der Zivilluftfahrt genannte Stellen ihre für Zivilluftfahrtzwecke genutzten kritischen informations- und kommunikationstechnischen Systeme und Daten ermitteln und vor Cyberangriffen, die sich auf die Sicherheit der Zivilluftfahrt auswirken könnten, schützen.

1.7.2.

 Die Flughafenbetreiber, Luftfahrtunternehmen und Stellen bestimmen in ihrem Sicherheitsprogramm oder in einem im Sicherheitsprogramm genannten relevanten Dokument die unter Nummer 1.7.1 genannten kritischen informations- und kommunikationstechnischen Systeme und Daten.

Das Sicherheitsprogramm oder ein im Sicherheitsprogramm genanntes relevantes Dokument muss detaillierte Maßnahmen enthalten, mit denen der Schutz vor den unter Nummer 1.7.1 genannten Cyberangriffen sowie die Erkennung solcher Cyberangriffe, die Reaktionen darauf und ihre Bewältigung sichergestellt sind.

1.7.3.

 Die detaillierten Maßnahmen zum Schutz dieser Systeme und Daten vor rechtswidrigen Eingriffen werden im Einklang mit einer vom Flughafenbetreiber, dem Luftfahrtunternehmen oder der Stelle vorgenommenen Risikobewertung ermittelt, entwickelt und umgesetzt.

1.7.4.

 Ist innerhalb eines einzelnen Mitgliedstaats eine bestimmte Behörde oder Agentur für Maßnahmen in Bezug auf Cyberbedrohungen zuständig, so kann diese Behörde oder Agentur als zuständig benannt werden, die Maßnahmen gemäß den Bestimmungen dieser Verordnung in Bezug auf Cyberbedrohungen zu koordinieren und/oder zu überwachen.

1.7.5.

 Unterliegen Flughafenbetreiber, Luftfahrtunternehmen und im nationalen Programm für die Sicherheit der Zivilluftfahrt genannte Stellen gesonderten Cybersicherheitsanforderungen, die sich aus anderen EU- oder nationalen Rechtsvorschriften ergeben, so kann die zuständige Behörde entscheiden, dass die Einhaltung der Anforderungen der vorliegenden Verordnung durch die Einhaltung der Elemente anderer EU- oder nationaler Rechtsvorschriften ersetzt wird. Die zuständige Behörde stimmt sich mit allen anderen einschlägigen zuständigen Behörden ab, um eine koordinierte oder kompatible Aufsicht sicherzustellen.“

3.

Nummer 11.1.2 erhält folgende Fassung:

„11.1.2

 Die folgenden Personen müssen eine erweiterte oder eine normale Zuverlässigkeitsüberprüfung erfolgreich durchlaufen haben:

a)

Personen, die eingestellt werden, um Kontrollen, Zugangskontrollen oder andere Sicherheitskontrollen in anderen Bereichen als Sicherheitsbereichen durchzuführen;

b)

Personen, die unbegleiteten Zugang zu Luftfracht und Luftpost, Post und Material von Luftfahrtunternehmen, Bordvorräten und Flughafenlieferungen haben, die den erforderlichen Sicherheitskontrollen unterzogen wurden;

c)

Personen, die gemäß dem nationalen Programm für die Sicherheit der Zivilluftfahrt Administrator-Rechte oder unbeaufsichtigten und unbeschränkten Zugang zu den unter Nummer 1.7.1 genannten, für Zivilluftfahrtzwecke genutzten kritischen informations- und kommunikationstechnischen Systemen und Daten haben oder die in der Risikobewertung gemäß Nummer 1.7.3 anderweitig ermittelt wurden.

Wenn in dieser Verordnung nichts anderes bestimmt ist, entscheidet die zuständige Behörde nach Maßgabe der anwendbaren nationalen Vorschriften, ob eine erweiterte oder eine normale Zuverlässigkeitsüberprüfung durchzuführen ist.“

4.

Die folgende Nummer 11.2.8 wird angefügt:

„11.2.8.   Schulung von Personen mit Funktionen und Verantwortlichkeiten in Bezug auf Cyberbedrohungen

11.2.8.1.

 Personen, die die unter Nummer 1.7.2 genannten Maßnahmen durchführen, müssen über die erforderlichen Fähigkeiten und Eignungen zur wirksamen Wahrnehmung der ihnen zugewiesenen Aufgaben verfügen. Sie werden über relevante Cyberrisiken nach dem Grundsatz 'Kenntnis nur wenn nötig' informiert.

11.2.8.2.

 Personen, die Zugang zu Daten oder Systemen haben, müssen geeignete und spezifische aufgabenbezogene Schulungen absolvieren, die ihren Funktionen und Verantwortlichkeiten entsprechen, wobei sie auch über relevante Risiken informiert werden, wenn dies aufgrund ihrer beruflichen Funktion erforderlich ist. Die zuständige Behörde oder die unter Nummer 1.7.4 genannte Behörde oder Agentur bestimmt oder genehmigt den Inhalt der Schulung.“